Messaggi

Sapevate che potete ricevere rapporti DMARC al di fuori del proprio dominio? Sì, è possibile inviare i rapporti DMARC a un indirizzo e-mail che non rientra nell'ambito del proprio dominio tramite la verifica della destinazione esterna DMARC. Se si possiede il dominio azienda.comè possibile inviare le segnalazioni a un indirizzo (esempio) [email protected]dove company.com non ha alcuna autorità su mailreports.net e si tratta di due domini completamente separati.

Tuttavia, per ottenere questo risultato, il dominio di ricezione dei report (mailreports.net) deve fornire l'approvazione a ricevere i rapporti contenenti i dati DMARC del vostro dominio (azienda.com). (company.com).

Il metodo che lo rende possibile è definito "Verifica del dominio esterno" e oggi discuteremo di cosa si tratta e di come vi aiuta nel vostro percorso di autenticazione. 

Verifica del dominio esterno DMARC - Spiegazioni

Supponiamo di possedere il dominio azienda.com e che abbiate abilitato il DMARC per il vostro dominio. Ora volete ricevere informazioni sulle vostre fonti di invio delle e-mail attraverso i report aggregati DMARC, ma per evitare di spammare la casella di posta dei vostri domini e sottodomini interni, volete reindirizzare questi report a una destinazione esterna, ad esempio mailreports.net.

Si tratta di una tattica comune esercitata dalle aziende che hanno più domini registrati, terze parti e un flusso massiccio di informazioni da e verso i loro domini. 

A tal fine, il record DMARC successivo dovrebbe avere un aspetto simile a questo: 

v=DMARC1; p=quarantena; rua=mailto:[email protected]

[Per creare gratuitamente il vostro record personalizzato, utilizzate il nostro generatore di record DMARC strumento]

Il tag rua specifica l'indirizzo e-mail sul quale si riceveranno i rapporti DMARC. Si noti che il fatto che sia stato pubblicato un record sul DNS che richiede l'invio dei dati a mailreports.net non significa che sarà così. Non è così semplice.

Il dominio che riceve i report deve fornire il consenso digitale a ricevere i report da parte di azienda.comaltrimenti non possono essere inviati. Questa procedura è nota come verifica del dominio esterno o verifica della destinazione esterna (come indicato in RFC 7489 7.1).

Perché è necessaria la verifica della destinazione esterna? Potenziali minacce e vulnerabilità

I seguenti motivi possono spingervi a optare per la verifica del dominio esterno:

  • Siete proprietari di un dominio che non gestisce alcun server di posta elettronica
  • Senza la verifica del dominio esterno, gli aggressori informatici possono facilmente creare un record DMARC che menziona un dominio esterno (di una vittima) per ricevere segnalazioni. Le segnalazioni di tutte le e-mail sbagliate inviate dall'aggressore inonderanno la casella di posta della vittima. 

Grazie alla verifica della destinazione esterna, è possibile impedire agli attori delle minacce di compiere le loro azioni dannose e i proprietari dei domini possono indirizzare le segnalazioni a un dominio esterno che gestisce i server di posta. 

Come funziona la verifica del dominio esterno?

Verifica delle destinazioni dei report esterni 

Quando un dominio con un record DMARC pubblicato invia un'e-mail, il server di ricezione delle e-mail verifica se il dominio organizzativo presso il quale è stato pubblicato il record corrisponde esattamente al dominio organizzativo indicato nel tag rua (o ruf) del record DMARC. 

Se non c'è corrispondenza e se è stato specificato un dominio esterno per ricevere i rapporti, viene avviato il processo di verifica. 

A tal fine, il DNS dell'host che riceve i report viene interrogato per verificare se ha acconsentito a ricevere i report. Se nel DNS dell'host viene trovato un record DMARC che attesta tale consenso, il controllo di verifica viene superato e i report vengono inviati al dominio esterno. Se fallisce, i report non vengono consegnati. 

A volte, a causa del timeout del DNS e di altri problemi minori, può verificarsi un errore temporaneo che impedisce ai server di ricezione di completare temporaneamente il processo di verifica della destinazione esterna. Tuttavia, il processo viene riproposto in un secondo momento. 

Configurazioni di verifica della destinazione esterna per domini (e sottodomini) specifici 

Riprendiamo l'esempio precedente per determinare come garantire che il processo di verifica della destinazione esterna non restituisca un risultato di errore per domini e sottodomini specifici.  

Esempio di nome di dominio: azienda.com 

Esempio di dominio esterno di ricezione dei rapporti: mailreports.net 

Sul dominio mailreports.net deve essere pubblicato un record DNS DMARC con le seguenti informazioni: 

Campo  Descrizione Valore
Ospite Qui si pubblica il record su company.com._report._dmarc.mailreports.net
Valore Il valore del vostro record TXT v=DMARC1;

Nota: Sostituire i nomi dei domini con il proprio dominio e con qualsiasi dominio esterno su cui si desidera ricevere i rapporti. Questo record NON deve essere pubblicato sul proprio dominio, ma sul dominio esterno a cui si desidera inviare i rapporti.

E il gioco è fatto! Durante la verifica della destinazione esterna, questa operazione informerà i server di ricezione delle e-mail che il dominio esterno preferito, menzionato nel tag rua o ruf, acconsente effettivamente a ricevere segnalazioni DMARC per conto del vostro dominio. 

Configurazioni opzionali per la verifica della destinazione esterna

Invece di pubblicare il record di cui sopra per dare l'autorizzazione a domini specifici per l'invio di report al loro indirizzo, i domini esterni spesso utilizzano un record record jolly (che inizia con un asterisco "*").

Si tratta semplicemente di una scorciatoia per evitare sforzi aggiuntivi, poiché un record jolly denota essenzialmente che il dominio esterno dominio esterno acconsente a ricevere rapporti DMARC da QUALSIASI dominio (e non solo dal proprio dominio). (e non solo dal vostro dominio specifico).

Di seguito è riportata la sintassi (esempio) di un record jolly utilizzato per la verifica di un dominio esterno: 

Campo  Descrizione Valore del record jolly
Ospite Qui si pubblica il record su *._report._dmarc.domain.com
Valore Il valore del vostro record TXT v=DMARC1;

Rischi potenziali associati all'uso di caratteri jolly

L'utilizzo di voci wildcard per la verifica dei domini esterni non è una pratica consigliata e comporta potenziali rischi. Infatti, quando un dominio acconsente a ricevere segnalazioni da qualsiasi dominio, i malintenzionati possono utilizzare questa funzione per spammare le caselle di posta elettronica con segnalazioni in massa provenienti da domini dannosi, senza alcun meccanismo per regolare o filtrare le segnalazioni. Questo può essere potenzialmente dannoso per il dominio che riceve le segnalazioni e può causare problemi anche a voi che utilizzate quel dominio per ricevere le vostre segnalazioni. 

Come si gestisce la verifica del dominio esterno in PowerDMARC?

Per i clienti che hanno creato un account PowerDMARC e che ricevono i rapporti sull'analizzatore di rapporti analizzatore di rapporti DMARC non devono preoccuparsi della verifica dei domini esterni, perché ce ne occupiamo noi. Tutti i report inviati dai ricevitori vengono automaticamente instradati e inviati alla nostra piattaforma, ordinatamente analizzati e organizzati per essere visualizzati senza che dobbiate pubblicare record per semplificare il processo di verifica della destinazione esterna. Tutto ciò che dovete fare è specificare il nostro indirizzo rua (o ruf) personalizzato nel vostro record DMARC.

Registratevi ora per semplificare il processo di validazione delle destinazioni esterne e di implementazione del DMARC con una prova gratuita del DMARC. prova DMARC.